转换风险效率和有效性

1、转换风险效率和有效性自 2008 年至 2009 年的金融危机以来，大大小小的金融机 构的风险和合规职能都得到了显著拓展。 许多全球性银行在这些 领域增加了数千名员工。 在大型地区性银行， 风险职能的增长率 已高达组织其它部门的两倍。 在许多较小的机构中， 将合规作为 法律职能的一部分或将风险作为财务职能的一部分进行工作的 少数人，如今已成长为拥有数百人的全面风险和合规职能。随着人员数量的增加，复杂性也随之增加。许多机构发展迅 速、零敲碎打，常常忙于应对监管反馈或间接压力。 通常扩张是 “二对一”的 :当银行在第二道防线上增加风险经理时，它们也 必须在第一道防线上招聘， 以执行扩大的风险职能所

2、设定的额外 要求。相反，第一行的增加促使第二行雇佣率比以前更高， 以便 在一个要求更高的监管环境中提供监督。 随着员工的增长， 政策、 委员会和报告也激增。 复杂的风险功能和迅速发展的政策环境反 过来又导致了更多复杂的过程， 往往随着时间的推移添加了控制 层，而没有考虑整体设计。如今，大多数银行都在寻求提高生产率。近年来，许多机构 将风险管理视为削减成本的禁区。 考虑到风险管理和监管预期的 要求，削减复杂性所需的成本的行动被认为是危险的。现在， 鉴 于潜在的监管稳定性即将显现， 一些银行正认真考虑降低风险管 理成本。然而，提高风险 - 功能效率的努力只能从一套危险的标准生 产力措施中获得。 有

3、效的风险管理需要大量具有高度专业知识和 技术技能的角色， 因此不适合转换杠杆的样板应用， 例如跨度和 层。此外，尽管监管压力可能会减轻，但它们不会消失。银行业 监管机构仍适当关注风险职能的强度和完整性。提高风险 - 功能 效率的尝试，如果没有细致入微， 将招致更多的审视。 最重要的 是，风险管理可以防止代价高昂的错误和失败。 当今环境的特点 是，向数字渠道和工具的转移所带来的风险水平不断上升， 对第 三方和云计算的依赖越来越大， 网络攻击激增， 社交媒体带来的 声誉风险成倍增加。 提高风险管理效率的错误举措， 可能会让一 家机构付出比节省成本多得多的代价。幸运的是，提高风险管理效率的最有效杠杆

4、，如果按照谨慎 的顺序应用，也能提高效率。一个执行良好的端到端风险 - 功能 转换可以减少高达 20% 的成本，同时提高透明度、问责制、员 工和客户体验。相辅相成阶段的顺序转变我们认为， 希望转变风险管理的银行应该把重点放在四个相 互加强的领域 :组织、治理、流程、数字化和高级分析。虽然在每个领域隔离的增强可以提高效率和效率， 但真正的潜力来自于 按顺序处理它们。 组织优化促进治理合理化， 从而促进流程的有 效简化，从而使数字化和高级分析产生最大的效益 :优化组织。组织优化通过明确职责、增强问责性和将人才与 工作匹配来产生效率收益。 这些变化还通过减少第一道防线和第 二道防线上的冗余来提高效率

5、。 也许最重要的是， 组织改进为治 理合理化、流程合理化和数字化奠定了必要的基础。合理化管理。通过对治理进行合理化，银行可以将注意力集 中在最重要的事情上， 并消除业务的痛点。 消除不需要的活动可 以释放稀缺而宝贵的资源管理带宽， 同时产生一些直接的效率效 益。最重要的是， 合理化治理为流程的简化和数字化奠定了基础。精简和加强进程。通过简化流程，机构可以在创造更好的员 工和客户体验的同时， 在效率 - 效果曲线上采取引人注目的步骤。 精简的流程也更容易数字化， 无论是有针对性的方式还是全部数 字化。数字化和部署高级分析。最后，数字化和高级分析可以增强 和放大流程重新设计的影响， 从而充分影响风

6、险管理的有效性和 效率。适当的自动化过程更容易出错， 成本也更低。 或许更重要 的是，数字化允许机构在核心流程中嵌入自动实时（或近乎实时 ）风险控制。这减少了控制失败，并大大提高了资源的使用效率。接下来的部分将讨论所有四个领域，提供关于挑战、改进机 会和实现的详细信息。优化组织清晰和精简的组织结构是端到端风险转换工作的起点。 通过 明确第一道防线和第二道防线上的角色和责任， 机构可以提高问 责制，确保它们所面临的风险得到全面覆盖，并减少工作重复。 通过明智的集中，银行可以提高标准化水平，减少重叠。此外， 资源的选择性转移 （离岸或近离岸 ）可以扩大人才库。在风险功能中裁剪组织报告行许多银行正寻

7、求改善其风险管理组织结构， 但不确定如何超 越零敲碎打的改革。 考虑到必须以协调的方式满足风险管理需求 的多样性，正确处理核心结构是一项挑战。没有一个单一的答案适合所有的银行， 因为它们已经建立了许多向首席风险官（CRO）汇报的不同角色（表1）。然而，风险组 织结构通常包括四种不同类型的角色 :与风险相关的角色对主要风险类型 （如信贷、遵从性或操作风 险）或一组传统风险类型 （如非金融风险 ）进行端到端的监督。与业务一致的角色监视业务单元或广泛业务重点的领域，例如消费者银行或商业银行。以地理为基础的角色负责监督特定地点的活动，通常是在具有重要国际业务的机构，或地方司法管辖区要求的地方。企业范围

8、的角色负责以协调的方式跨风险类型、 业务和地理 区域的活动。例如企业风险管理 (ERM) 或分析和模型开发。许多 机构都设立了专门的项目来满足特定的需求， 比如大规模的数字 化改造或高调的整治，这也属于这一范畴。crs 可运用以下五个概念，建立切合实际的架构，为有效及 有效率的风险管理奠定基础 :对于每个主要的风险监督活动， 将主要责任分配给与风险一 致或与业务一致的组。 根据我们的经验， 至少在一些风险管理活 动中，许多机构要么没有明确指出什么角色负有主要责任 留下空白要么将责任交给几个小组从而产生重叠的权 威。无论哪种情况，结果都是混乱和重复。 为了防止这种情况发 生，系统协调处应确定哪个

9、角色对每项活动负有主要责任， 从而 在第二线内加强协调，同时限制资源的重复， 从而提高效率。 例 如，业务组和风险组都希望进行独立的测试。 但是， 如果他们不 进行协调就这样做， 业务就会负担过重， 独立的结果很难汇总甚 至协调。一个更好的方法是让业务部门或风险相关的团队明确地 负责测试。 该小组将根据这两方面的标准和需求构建测试， 以便 能够根据风险类型和业务轻松地聚合结果。分配与风险一致的单元，负责为其风险类型设置策略、报告和测试标准。 如果将这些活动单独留给与业务一致的团队， 每个 团队都可能根据自己的特定需求定制方法， 从而产生混乱， 阻碍 跨公司的透明度，并使其难以在企业级别聚合风险

10、。在实践中， 直接向 CROs 报告的与风险相关的角色应该涵盖风险最高的领 域。大多数 crs 直接报告信用风险、操作风险和遵从性。拥有大 量交易账簿的机构通常会向 CRO 报告市场风险 ;承担模型风险也 变得越来越普遍，尤其是在美国最大的银行。确保业务在风险组织中有明确的接触点。 风险组织应该有足 够的业务专长来提供有效的监督， 同时也要为业务单元提供清晰 的联系点。较小的机构通常没有与业务单元一致的角色向 CRO 报告 ;相反，每个风险对齐的组为每个主要业务维护一个单一的 接触点。 这种方法要求每个企业管理多个联系点， 在规模上可能 会变得很麻烦。 因此， 规模较大或不断扩大的机构应考虑为

11、每个 主要业务领域设立 CRO 直接报告。例如，一家不断发展的地区 性银行只有向 CRO 报告的风险型角色 ;为了确保业务有明确的接 触点， 世行设立了与业务一致的角色， 并提供了重要的监督和监 控资源。与风险相关的角色继续开发策略并提供聚合的风险类型 报告。 拥有成熟的、 集成的运营模式和足够的分布式专业知识的 银行可能不需要在风险组织中扮演与业务一致的正式角色。然 而，在我们的经验中，这是一个例外，而不是规律。在基于地理位置的组中，镜像整个组范围的方法，用于为风险对齐的角色和业务对齐的角色设置职责。 许多司法管辖区要求 所有风险管理人员通过区域 CRO报告，CRO对风险管理监督负 有最终的

12、司法责任。 通常情况下， 跨国银行不同地域的风险领导 层会对其团队内的职责做出自己的独立决定， 从而阻碍企业范围 内的一致性和汇总的风险报告。 为了实现一种协调的方法， 机构 应该阐明组级原则， 并将其应用于所有地理区域。 只有当地方法 规实施了完全不同或更高的标准时，例外才有意义（在美国经营的外国银行组织都知道这个问题 ）。为需要企业一致性的活动创建单点高级责任。 某些活动需要 跨风险类型、 业务和地理区域的通用标准和方法的一致性。 例如， 企业范围内的风险偏好、 风险识别和问题管理方法。 企业风险管 理功能正在重新出现，即使是在较大的银行，它也是向 CRO 报 告这类领域的关键部门。 许多

13、大型银行也已经或正在设立一个监 管关系主管作为 CRO 直接报告，以建立监管互动的标准和治理。 任何企业范围的角色都应该有一个明确的任务， 以避免中心项目 管理类型职位的泛滥。根据我们的经验， 成功的风险重组应该从诚实地评估现有组 织的优点和缺点开始， 包括业务输入。 将此作为应用上述原则的 基础， 将产生一个对业务更有响应的组织， 具有以原则为指导的一致的逻辑结构，有效地履行其监督职责。明确防线上的角色和职责 通常情况下，职责可能会在防御线之间和防御线内重叠，损 害简化治理和流程的能力。 例如， 我们经常观察跨越第一道和第 二道防线的重叠控制和测试环境。 以下主要意见可指导院校厘清 角色和责

14、任 :对所有实际进行的风险管理活动形成清晰的认识。 在大多数 银行， 至少有一些风险管理活动的确切性质尚不清楚。 缺乏明确 性表明， 在跨业务或风险类型的方法中可能存在差距、 工作重复 或无意中不一致之处。 重复的两个常见例子是第一道防线和第二 道防线所进行的监测和风险报告。 同样， 与供应商管理或跨企业 的投诉处理相关的活动也是经常出现不一致的领域的例子。 在整 个风险组织中，明确谁在做什么， 这本身也是一个有价值的、 提 高效率的结果。跨防线定义和阐明角色，并将其应用于活动。很常见的是， 风险角色在防线上的划分很差， 因为不同战线上的小组执行类似 的活动。在对角色的监管指导不明确的地方，最

15、容易出现重复， 例如在供应商管理或监视和测试中。 角色的不恰当描述也可能导 致空白，没有明确的团队负责执行所需的活动。例如， 许多机构 并没有针对网络风险开展适当的企业风险活动。 为了消除差距和重复， 银行应制定划定防线的原则， 并利用这些原则将每一项活 动划分为属于第一道防线或第二道防线的活动。通过将这些活动纳入真正的第一道防线， 避免 “1.5 道防线” 的概念。一些银行建立了他们所谓的“ 1.5 防线”，要求完成第 一线的风险活动，如质量保证和报告。 尽管其逻辑显而易见， 但 1.5 行代码可能会造成更多的混乱，而不是清晰。在它存在的地 方，真正的第一线第一线业务常常不能将风险管理集 成

16、到其核心流程和决策中。 这将从业务中移除真正的责任， 并常 常意味着风险管理活动不是它的责任。 与此同时， 第二行代码可 能过于依赖 1.5 行，或者认为它不够好，执行它自己的、重复的 控制测试。确保对企业职能范围内的活动 （包括法律、人力资源和财务 ） 采取清晰的方法。根据我们的经验， 在几乎所有的机构中， 企业 职能与防线之间的关系都是模糊的。 银行应采取系统的方法来监 督各职能部门的组成部分活动， 从而澄清这一点。 董事会和风险 部门， 以及企业职能部门的领导人自己， 都可能在这种监督中发 挥作用。 与此同时， 机构需要指定由组织的其他部分执行的哪些 活动由企业功能监视。例如， HR 可

17、以在整个企业中提供与激励 性薪酬相关的风险监督， 包括对相关活动的责任， 如制定政策或 进行独立的测试和监控。 最后， 银行需要为这些企业功能如何参 与企业范围的风险管理计划 （如风险识别、风险报告和风险偏好 ）建立原则，从而对整个银行的风险进行总体评估。在防御线之间实现角色和职责的正确对齐是一项艰巨的任 务。具有此目标的企业范围的项目可能生成大量的文件， 但不会 产生清晰的结果或好处。 成功的组织首先要为哪种类型的活动建 立原则，并将其划分为哪条防线。其次，这些银行通过与企业、 企业职能部门和企业风险小组的工作会议， 对活动进行盘点， 并 确定存在的差距和重复的领域。 最后， 他们重新调整活

18、动以符合 防线原则。这一步骤经常导致组织调整 :例如，一些银行已将首 席信息安全官组织的一部分转移到企业风险， 以提供网络风险的 二线覆盖 ;其他人则将关注控制测试的团队从运营风险转移到相 关业务。集中资源优化布局 即使在明确了角色和职责之后，银行也会发现，由于资源过 于细分，导致资源和人才配置效率低下。在大多数银行，类似的 风险管理活动在不同的物理和组织地点重复， 或者人才与角色不 匹配。例如，大规模风险领域的数据科学家可能会被要求撰写报 告或解决技术问题， 因为他们所在的特定领域对分析的需求不足 以让他们完全投入其中。 与此同时， 其他风险领域可能在分析工 作中使用非专业人员， 因为对专业

19、人员的需求不足。 一个适当的集中化和定位的敏捷策略应该基于以下原则集中共同的活动，特别是那些需要专业技能或一致性的活 动。一些银行集中一定的资源和活动， 最大限度地利用现有人才， 保持一致性。集中化的典型候选对象是需要专门人才的活动（如数据和分析 ），以及一致性带来明显好处的活动 （如测试和监视 ）。 这些结果有时被称为“卓越中心” （COEs） 。它们可以帮助平衡 工作量，减少重复，促进方法的一致性，并保护稀缺的人才。然 而，创建一个“中心”并不保证“卓越” 。“实现卓越需要的不仅 仅是将人们聚集在一个单一的组织结构中。一家地区性银行发 现，其分散的模型组在风险函数中存在低效的交接和重复活动

20、。 通过创建一个数据和建模组并重新调整底层流程， 世行解决了这 些缺点， 更好地平衡了工作负载， 并促进了围绕数据管理的更严 格的纪律。建立清晰的协议，让 COEs 与组织的其他部分进行交互。在 创建卓越中心时，银行应谨慎行事。 COEs 会侵蚀组织中由于集 中化而失去资源的部分之间的信任， 而这些部分现在正在经历服 务级别的更改。 为了确保 COEs 真正实现其预期目标， 银行应该 为每个 COE 与业务或功能之间的交互采用一个清晰的模型;这个模型可以包括服务级别协议和指定周转时间。如果没有一个清 晰、一致同意的交互模型，业务可能会在影子功能中重新创建COE 功能，这将使组织进一步膨胀，并在

21、职责方面产生额外的 混淆。制定合适的定位策略。为了开发新的人才库和节约资源，一 些机构已将某些活动迁至海外。 重新配置风险函数的地理位置需 要一种细致入微的、 特定于规程的方法。许多风险角色，特别是 那些具有战略或咨询重点的角色， 无法重新定位， 因为它们需要 接近第一线。然而，一些重要的角色，包括模型开发和验证，适 合重新定位。 尽管转换这些角色可以提高效率， 但银行必须谨慎 地平衡这些角色的变动与它们在每个角色中拥有合适人才的需 求。事实上，对于某些活动， 需要的人才可能更容易在海外地点 获得。采用更灵活的模型来平衡季节性的工作量。 某些关键风险活 动 （如压力测试和基于项目的补救措施 ）

22、的季节性或周期性，一直 是银行和负责这些项目的员工的痛点。 当这些员工的主要职责不 那么繁重时，银行可能很难保持资源的有效利用。 此外， 长期担 任这些职位的员工可能会失去动力， 开始寻找更好的机会。 在一 个又一个项目的基础上， 在更短的时间内重新部署人才， 将解决 这种不平衡。 这也可能有助于留住人才， 解决组织周围的资源缺 口，以及交叉传授最佳实践。 随着时间的推移，将这些活动更好 地集成到正常的业务活动中可能会带来更大的好处。例如， 为监管考试开发压力场景的团队也可以支持特定行业的经济预测。 如果一个机构要有效地部署人才并完成必要的风险活动， 那 么就需要仔细地决定什么是集中化以及如何

23、集中化， 什么是合适 的位置策略， 以及如何将敏捷性注入风险组织。 这些决策通常建 立在工作生成的详细活动分析的基础上， 以阐明角色和职责。 决 策也可以独立处理， 只要充分注意集中、位置、人才战略以及风 险环境的细微差别。合理化的管理 通过优化风险组织，机构可以继续开发适当的治理。为了把 注意力集中在最重要的事情上， 银行需要理顺政策， 消除对下游 流程管理的不必要努力。委员会需要精简， 以改善工作重点、 问 责制和升级路线， 并节省管理人员的时间。 合理化治理与优化的 组织结构一起，是流程合理化和风险管理数字化的前提。合理化的政策 在许多公司，风险政策已经变得太多，因此很难管理。数以千计匆

24、忙创建的风险和遵从性策略可以在中型和大型银行中使 用，单个策略可以在业务中生成数十个流程， 每个流程都会影响 流程和控制设计。机构已经减少了多达 30% 的政策，同时提高了其余政策的质 量。政策的结构可以将注意力集中在风险最高的领域， 同时消除企业不必要的繁文缛节。 同时， 也降低了政策行政管理的成本和 力度。试图转型的机构会发现， 几乎所有的政策都需要进行一些调 整，即使不是完全重写，以更好地反映风险偏好，提高透明度， 并达到正确的细节水平。 他们可以通过建立一组设计原则来更新 他们的策略， 以理解挑战并确定目标状态。 以下四项原则至关重 要，每一项原则都针对共同的痛点 :使用精确的策略覆盖

25、所有风险、业务和跨企业项目。缺失或 模糊的政策承认了与机构风险偏好不相符的活动。 覆盖范围的差 距最常见的出现在管理跨业务或跨功能程序的策略中， 比如新的 业务计划和第三方风险管理。在处理不太成熟的风险管理领域 （如网络风险和行为风险 ）的政策方面也存在差距。例如，在一家 银行，管理新产品计划的模糊政策导致对新企业评估的角色和责 任不明确，从而导致决策与银行的风险偏好不一致。确保没有主题包含在一个以上的主要策略中。 重叠或冗余的 策略可能导致对相同领域的不同需求，导致人们做错误的事情， 或者浪费时间弄清楚需要什么。 如果在没有充分考虑现有政策的 情况下添加新政策， 比如对特定监管反馈的响应，

26、就会出现这种 重复。例如，在一家银行， 两项政策对第三方风险评估提出了不 同的要求，导致业务和支持功能之间的混淆。 另一方面，企业政策和商业商业标准中与金融犯罪相关的不同要求导致了跨业务 流程的不一致。关注有意义的结果，而不是过于规定的程序。过于规定性的 政策可能会以对风险管理不必要且从业务角度来看是有害的方 式约束行为例如，通过阻止创收或增加昂贵的活动。在一 家银行， 对信贷审查程序政策的严格解释， 导致了在与同行进行 基准比较时，评级过于保守。 通过消除过度规定的政策，银行可 以在不不必要地阻碍业务的情况下，保持风险管理的质量。只需要那些具有明确风险管理原理的任务。 要求不必要任务 的政策

27、分散了注意力，增加了开支。 例如，一家银行的一项政策 要求， 所有与任何风险信贷有过互动的一线个人， 都必须参加每 月的电话会议。 通过简单的政策调整， 员工接听这些电话的总时 间减少了 90% ，同时又不影响有效的风险管理。各机构减少了多达 30% 的政策，同时提高了其余政策的质 量。经验表明， 试图完全依靠中央政策办公室或其他行政部门来 重新设计政策的银行往往难以实现其目标。 然而， 中央政策办公 室可以帮助构建所有风险的完整清单， 并定义目标政策体系结构 一个不受前面提到的差距和重叠影响的体系结构。成功实 施这一目标状态的银行随后成立了一个由业务和风险代表组成的工作组，提出详细建议。 如

28、有必要， 信贷政策委员会和董事会 等地区一级的政策委员会将对这些计划进行审查。 工作组应该很 小，包括来自风险部门和业务部门的受人尊敬的领导者， 成功取 决于来自业务、 支持部门和风险部门的正确人员的贡献， 并强调 特定的政策和痛点。精简委员会架构 自金融危机以来，许多公司增加了委员会，有时没有协调新 委员会和现有委员会的作用。机构可以有 100 多个委员会，其 中许多委员会的任务不明确或重叠， 成员资格不够理想。 委员会 的过度增长给高级管理人员的日程安排带来了过重的负担， 同时 也推迟或阻碍了决策。通过减少委员会数量、明确授权和升级路径，银行可以在提 高透明度的同时， 全面覆盖重要领域。

29、对委员会结构的严格审查 可以改善治理， 同时将专门用于委员会的时间减少近一半。 尽管 大型银行的这种委员会审查可能需要 4 至 6 个月的时间，但机 构可以从制定一套设计原则开始， 并利用这些原则来理解现有的 挑战。以下五个中心思想可以帮助指导这项工作 :建立一个覆盖所有风险和业务的专门的整体委员会结构。 委 员会所涵盖领域的差距在需要跨风险类型、 业务和企业功能的全 面企业视图的领域最为常见。 例如， 一些机构发现， 他们没有足 够的高层委员会讨论声誉风险、地缘政治风险或重大监管风险。 向委员会提出明确和明确的任务。 任务不明确或重叠的委员 会可能作出不一致或冲突的决定。 在一些银行， 专门

30、负责单个产 品风险或运营风险领域的独立委员会有时会做出相互矛盾的决 定，这让必须执行这些决定的企业主感到沮丧。 明确界定这些委 员会的决策授权 （以及取消或合并任务重叠的委员会 ）可以防止 这些挑战。确保每个委员会有意义的决策权和明确的升级路线。 如果没 有明确的决策权力和责任， 委员会会议就可能成为讨论， 而不会 取得任何有意义的进展。 不明确的责任或升级线可能会在组织中 造成关于如何处理重要风险、 问题或决策的混乱。 例如， 许多机 构没有完全明确新成立的行为风险委员会和现有的合规或人员 委员会之间的升级或责任界限。包括来自外部风险的成员。通常情况下，人力资源和企业在 委员会中的代表人数不

31、足。 成员之间的差距可能导致委员会过于 谨慎，或错过重要的风险问题。例如，如果没有 HR 代表，可能 会错过与绩效管理、 培训和员工关系的链接。 由于企业的参与有 限，专注于流动性风险等领域的委员会可能难以分配有针对性的 存款流出因素，有时会导致不必要的保守缓冲。限制会员和与会者。 相反，为了确保所有的声音都能被听到，公司可以创建一个成员超过必要数量的委员会。 这种税收安排在 阻碍高级管理人员有效决策的同时。即使在会员人数有限的地 方，银行的出席率也随着时间的推移而逐渐上升， 那些被邀请参 加特定会议的人在需要出席很久之后仍会继续出席。 应通过明智 地重新设计委员会和由委员会主席加强纪律来解决

32、和扭转成员 过多的问题。在与相关利益攸关方共同举办的专题研讨会上， 可以确定当 前委员会设计中的挑战。 然后， 一个小型临时工作组可以根据商 定的设计原则和有针对性的讨论的结果撤换或合并委员会。 然后 可以重新设计宪章和其余委员会的成员。 工作组应与风险职能以 外的高级业务和职能领导人进行磋商。 本组织可以开始执行其新 的委员会结构， 以测试和改进结果， 并在行动中证明真正的变化。 对委员会结构进行有意义的更改可以作为风险组织致力于转型 的强有力的信号机制。精简和加强程序通过与组织和治理保持一致，机构可以开始获取显著的效 率。简化的流程更不容易出错，控制得更好， 更有助于增强客户 和员工的体验

33、。他们也更有效率。 例如， 一些银行已经绘制了他 们的信贷承销和裁决程序， 发现了提高效率的机会， 从而使承销 商的能力提高了 20%以上，信贷官员的能力提高了 10% 以上。 即使没有技术上的变化， 简化多年来通过逐步添加而创建的许多 层流程也常常可能产生重大影响。 同时， 这种简化可以帮助为更 有效的数字化奠定基础。机会在于精简和加强核心风险过程， 以及不属于风险职能但 容易产生风险的过程。 风险对核心风险流程有更大的控制， 如信 贷裁决、欺诈预防和反洗钱 / 了解客户 (AML/KYC) 评审这是 风险效率和效果转换通常开始的地方。 风险职能还可以促进改进 和精简职能以外的高风险过程。

34、对于这些流程， 包括销售人员绩 效管理、客户入职和支付流程，风险可以提供关于监视、控制和 测试的清晰策略和相关需求。透明的流程和透明的控制使业务能够作为更有效的第一道 防线。例如，在一家区域银行，管理信贷组合集中的复杂过程导 致第一行的参与有限， 第一行采取了要求例外的方法， 而不是在 过程限制内工作。 透明的过程有助于将注意力集中在影响最大的 活动上， 并降低复杂过程或控制中的缺陷被忽视的风险。 与此同 时，通过了解现有的控制和它们的预期目标， 企业领导人将成为 更好的风险管理者。数字风险 :为 21 世纪 20 年代转变风险管理由于精简主要流程是一项艰巨的工作， 机构应该明智地以有 目标的

35、方式开始， 使用一些优先级较高的用例。 这种方法增加了成功的机会，并有助于快速展示价值。为了确定用例的优先级， 银行应该权衡精简的可行性以及在有效性和效率方面的潜在收 益。复杂且涉及许多人的流程是精简的主要候选流程。以下四个步骤与确保和维持透明的精益过程特别相关 : 维护过程和控制的清晰映射。 流程映射包括标识流程中的各 个步骤和控件， 理解各个步骤之间的关系， 以及标识在执行流程 中涉及的人员和角色。 成功简化流程的机构通常从映射现有流程 和控制开始。 第一步包括编译风险级别流程的全面清单和开发健 壮的控制分类。在正确的级别执行映射是很重要的在这个 级别上， 对流程和关键痛点有了详细的理解，

36、 但是没有太多的细 节，以至于映射需要花费几个月的时间， 几乎没有时间和精力来 处理痛点。 考虑到所有的控制、 操作和技术用例进行映射也是非 常重要的 :一个执行良好的映射操作应该能够满足所有这些需 求。将奥卡姆剃刀 （经济定律 ）应用于每一个工艺步骤和控制，以 消除每一个不必要的活动。 随着时间的推移， 许多银行的流程已 经演变为纳入不能提高效率的活动或控制。 例如，一家银行发现， 投资组合管理部门进行的中期关系评估， 导致少量低风险信贷的 信用评级发生变化。 世界银行更新了其政策， 以降低内部审查的 要求。另一家银行发现，在其信贷裁决过程的最后一层，改变信用评级的几率不到 1% ，其中大多

37、数改变都提高了风险评级。该 银行在不影响信贷标准或评级惯例的情况下取消了这一层。基于风险的细分。 将风险管理工作的级别与每个活动固有的 风险级别保持一致， 可以设计平衡有效性和效率的控制。 在这一 原则被忽视的地方， 通常存在着提高效率和效率的巨大机会。 例 如，一家地区性银行在发现自己没有必要通过高成本渠道处理低 风险的商业贷款后， 重新设计了其商业信贷分类流程。 缺乏对中 后台活动的可见性也导致了从应用程序到决策的漫长时间。 通过 重新设计分类流程及其信用备忘录， 使所需分析的长度和水平与 信用风险水平保持一致，银行减少了承销费用，并释放了 25% 的产能。改进后的信用备忘录使信贷官员更容

38、易将重点放在最紧 迫的领域。减少可变性，尽可能标准化。在可能的情况下，银行应寻求 标准化流程，以降低运营风险和管理费用， 同时改进决策。 继上 述例子之后， 亚洲开发银行采取了一种基于风险划分信贷业务的 方法， 为汽车贷款业务设定了更清晰的标准， 并增加了对商业信 贷直接处理的使用。 全套的计划使它可以减少 60% 的决策时间， 提高 15% 的拉出率。大多数银行还发现与操作风险和遵从性以 及模型开发和验证相关的流程有很大的改进空间。例如， 通过标准化客户入职问题并将其与客户风险评级模型直接对齐， 一家机构提高了标记高风险客户的能力， 同时消除了合规、 银行家和客 户之间的反复互动。一旦流程被

39、映射，团队将努力使其流线化，消除不必要的活 动和控制。 重新设计的结构然后在小型试点中推出， 并在大规模 部署前进行审查。 在这些试点期间， 对新流程和相关控制进行评 估，以确保流程顺利运行，控制正常运行包括与风险水平 适当匹配，控制中没有漏洞。建立清晰、可衡量的绩效目标，密 切跟踪绩效，将有助于确定修订过程中的问题。数字化和高级分析 数字化和先进的分析技术增强和放大了流程简化的影响， 释 放了充分提高风险管理有效性和效率的潜力。 例如， 通过自动化 数据捕获和改进其决策引擎，一家银行能够实现 70% 的贷款的 直接处理，将发起成本降低了 70% ，决策所需的时间减少到不 到一分钟。此外，一家

40、全球银行在“反洗钱”监控中出现了极高 的假阳性率， 并将数据错误确定为问题的根源。 为了解决这个日 益繁重的问题， 世行开发了一种使用自然语言处理的方法来减少 数据错误，从而大大减少了误报，节省了数万个调查小时。数字化和高级分析确实是管理许多类型的非金融风险的唯 一可行方法，包括网络风险、 欺诈和第三方风险， 这些风险涉及 监控数千甚至数百万个接触点。如此大量的交互无法被手动监控，因此机构正转向分析和机器学习， 以检查数据质量、检测异 常值和异常，或识别高风险行为模式并对其进行优先级排序。在风险管理方面， 对数字化和高级分析最合适的立场将取决 于银行在整个数字化过程中所处的位置。 数字转型带来

41、的希望远 远超过了风险， 银行业作为一个行业正在经历一场数字革命。 然 而，不同院校的数字化程度存在很大差异。 尽管一些银行已经开 始甚至完成了 （尤其是在亚洲 ）全面的转型努力，但其它银行仍在 考虑何时、何地以及如何开始。开始获取利益即使是处于早期成熟阶段的机构，也可以采用三种“无怨无 悔”的理念，开始从数字化带来的效率和效益中获益 :为数字风险定义一个远景， 作为随着时间的推移进行改进的 指南。 即使在尚未积极考虑全面数字化转型的银行，风险职能部门也应制定一个愿景，管理与数字化运营和生态系统相关的风 险，包括风险职能部门将开展的活动以及相应的角色和任务。 这 样的愿景为最初的、 或许是零碎

42、的数字化改进提供了基础。 此外， 管理与风险功能内的工作相关的数字风险应该是首要关注的问 题。尽可能在大规模的风险过程中采用数字化工作流程， 优先考 虑高影响的工作。 在推行数码化工作时， 机构应以有目标的方式开始，并按优先次序处理一些工作。 要确定优先次序， 银行应权 衡精简的可行性以及在效率和效率方面的潜在收益。 选择自动化 用例 ,例如 ,在一个风险函数考虑三个因素来权衡潜在的收益和可 行性:监管和业务成果 （有效性 ）,资源的数量的影响 （效率）,和自动 化潜力 （可行性 ）。而优先流程数字化将随机构 ,主要候选人往往包 括过程与信用裁定和监控 ,AML / 什么水平 ,和第三方风险管

43、理。通过将现有的数据源拼合在一起来充分利用高级分析， 即使 它们是不同的。大多数机构拥有的可用数据比他们想象的要多。 在缺乏全面数字转换所需的广泛数据架构的情况下， 银行可以识 别、摄取和使用各种未连接的数据源来处理定义良好的单个用 例。主要的潜在例子包括欺诈分析、投诉分析和风险监控。迈向全面的数字转型 在进行全面数字化转型的机构中， 提高风险管理效率和有效 性的机会要大得多。 风险可以塑造这种转变， 从而直接支持风险 管理的有效性和效率例如，通过使所需的数据易于访问。 与此同时， 数字化和高级分析扩展了风险功能的能力， 以帮助改 进流程和风险之外的决策，而不仅仅是流程流线化所能完成的。 有三

44、个关键的想法可以帮助指导 CROs 。作为世行整体数字转型的倡导者和参与者尽早签约。 作为数 字转换的早期支持者， CRO 将能够帮助设计和部署自动预防或 检测控制， 并将其作为数字流的组成部分。 自动化控制是显著降 低操作风险和遵从性成本的关键， 同时为所有防线提供正确的实 时透明性。此外，参与全面的数字化转型将更好地让 CRO 了解 企业范围的数字化带来的风险， 并更好地减轻这些风险。 另一方 面，风险功能与数字化转型之间缺乏协调会放大风险。 在一家银 行，在向敏捷软件开发过渡的过程中， 关键的漏洞被引入到生产 代码中。 这一行动超出了网络安全控制功能， 导致客户数据遭到 泄露和丢失。 为了修复损失并防止未来的违规行为， 世行的运营 风险团队与网络安全和业务连续性专家进行了合作。 他们一起在 开发过程中创建并实现了有效的控制， 这样敏捷团队的效率就不 会受到影响。跨所有关键风险用例积极定义数据需求， 以便集成到更广泛 的企业数据转换中。 这项工作应该着眼于具有多年时间范围的用 例。它应该包括用于更高级建模的所有非传统数据源